大家怎么保存 2FA 的 recovery key？

1. truncate 创建一个空白文件
2. cryptsetup 在上面建立 LUKS 卷
3. LUKS 卷中建立 ext4 文件系统(其他文件系统也行,但最好是日志式的 POSIX 文件系统)
4. recovery code 存进去

Windows 的上 VHD+Bitlocker 应该能作为等效的方案.

不记 recovery key，除了 Authenticator 外绑定其他方式备用。

为何要随身携带？这 2FA 本来就是用 APP 存放的，只是 key 你再用两个 U 盘冷备份一遍就可以了，怎么加密随你。
如果担心一个 APP 突然失效的话，你可以两个 APP 一起用，反正只是一串字符而已。

你说的是恢复密钥，但是本身扫描的二维码也是一串字符，同样也可以保存。

不保存 recovery key，用 Authenticator 导出 2FA 数据库定期备份

打印成二维码。。妥善保存。

authy 可以同步

打印出来跟其他重要文件一起存放。
Recovery key 主要使用场景就是在（所有）常用电子设备损坏或者丢失的时候，让你可以在新设备上登录账号用的。所有 digital 存放方式都不合适。

我也时常思考这个问题，然后 Google Advanced Protection Program 给了我一个提醒就是，也许我们觉得对 2FA 的保存方案无所适从，一定程度上是因为 TOTP 形式的 2FA 密钥和账号密码的形式太类似了——它们本质上都是一串不想被别人看到的字符串。

以前，大家使用简单密码，密码记在脑子里，2FA 存在手机里（如 Google Authenticator ），如果简单密码通过网络远程泄露了或被猜中了，还有 2FA 保护；
现在，大家用密码管理器了，密码也存在手机里，同时 2FA 还在手机里，密码和 2FA 在同样的地方，我们自然就觉得怪怪的了。

现在，密码在密码管理器里（手机或电脑里），人们想，2FA 应该放在一个威胁模型、可能的泄露方式都与密码管理器 [大大不同] 的介质中，才显得 2FA 真的有用。实际上这种介质不是很好找……

Google Advanced Protection 给出的方案是强制 2FA 只能用硬件。我想 Touch ID 、Face ID 之类的也是可能的解决方案。2 FA 硬件的备份当然很传统，要求没那么高的就买 2 个，一个放家里，一个平时带着用。要求高的自行发挥想象力，什么银行保险柜之类的都可以整。

直接把当时二维码图片保存，没了再扫一次就可以了。

用 PGP 或者 EFS 加密一遍到处放
PGP 、EFS 证书私钥放在 YubiKey 里

Authy 自动同步，一直很稳定，而且多端使用

打印出来放在家中，和自己随身的电子设备形成两种不同形式的备份，除非是 EMP+导弹，不然基本上都没问题的

所以不要用 google 这个残废品，微软的 authenticator 已经可以充当一个完整的密码管理器了，自带同步功能永远不怕丢

我用 Microsoft Authenticator 管理二步验证，恢复码全丢放在坚果云里面的 KeePass，然后不定时再备份一次，这个 KeePass 数据库也只用来存类似这些的数据。平时用的密码管理器是别的。

Google Authenticator 好像只能转移到别的设备 不能导出 key 吧

@Hardrain #1 我之前使用 cryptomator 加密，然后用 Resilio Sync 在自己的设备间同步备份，然后觉得加密太麻烦就直接明文了 - -

两个物理 Yubikey， 异地备份

同步的 authy 就好

如果直接用你的常用手机号收短信做两步验证，那么你是不需要 recovery key 的